AAA认证略解[通俗易懂]

大家好，又见面了，我是你们的朋友全栈君。

AAA是authentication（认证）、aurhorization（授权）和accounting（计费）的简称。主要是给网络接入服务器（NAS）提供一个访问控制的管理框架。

定义：AAA作为网络安全的一种管理机制，以模块化的方式提供认证、授权、计费服务。其中： 认证：确认访问用户的身份，判断访问者是否为合法的网络用户。 授权：对不同的用户赋予不同的权限，同时限制用户可以使用的服务。 计费：记录用户在网络中的所有活动，包括使用的服务类型、起始时间、数据流量等，用于收集用户对网络资源的使用情况，并且可以实现针对时间、流量的计费需求，也对网络起到监视作用。

目的：提供对用户进行认证、授权和计费等安全功能，防止非法用户登录设备，增强设备系统安全性。

基本架构：AAA采用客户端/服务端结构，AAA客户端运行在接入设备上，通常被称为NAS设备，负责验证用户身份与管理用户接入；AAA服务器是认证服务器、授权服务器和计费服务器的统称，负责集中管理用户信息。

AAA认证方案有三种： 不认证：对用户非常信任，不对用户进行合法性检查，一般情况下不采用这种方法，太不安全啦。 本地认证：让网络接入服务器设备作为认证服务器，将用户信息配置在该设备上。本地认证的优点是速度快，成本低。缺点是存储信息量受设备硬件条件限制。 远端认证：将用户信息配置在远端认证服务器上。有radius服务器和hwtacacs服务器可以作为远端认证服务器。

AAA授权方案有五种： 不授权：不对用户进行授权处理。 本地授权：在网络接入服务器上，根据设备上的用户信息进行授权。 if-authenticated授权：用户通过本地或远端认证，则授权通过，否则授权不通过。 HWTACACS授权：由HWTACACS服务器对用户进行授权。 radius授权：radius认证成功后授权，radius协议的认证与授权是绑定在一起的，不能单独使用。

授权方法的生效顺序：授权方案中可以指定一种或者多种授权方法。指定多种授权方法时，配置顺序决定了每种授权方法生效的顺序，配置在前的授权方法优先生效。当前面的授权方法无响应时，后面的授权方法才会启用。如果前面的授权方法回应授权失败，表示AAA服务器拒绝为用户提供服务。此时，授权结束，后面的授权方法不会被启用。

AAA计费方案： 不计费：不对用户进行计费。 远端计费：由认证服务器对用户进行计费。支持通过radius服务器或hwtacsca服务器进行远端计费。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/138740.html原文链接：https://javaforall.cn